每個首席信息官（CIO）都不希望自己公司的數據最終落入暗網這種地方。一般來說，暗網包括那些沒有被谷歌這樣的流行搜索引擎索引的網站，也包括那些通常通過網絡攻擊獲得數據的地下黑市。獲取這些網站中數據提供的運營情報對于防范網絡犯罪分子至關重要，這些網絡犯罪分子會利用泄露的賬戶進行攻擊、實施欺詐，或使用魚叉式網絡釣魚或品牌欺騙進行活動。暗網也是犯罪集團的行動、戰術和意圖的情報來源。監控暗網泄露數據的工具可用于這些目的。

誰需要暗網監控工具？

由于暗網網站通常只有受邀者（invite-only）才能進入，因此要想進入暗網，通常需要偽裝成惡意用戶或市場上想竊取身份或公司數據的人進行滲透。這就要求個人或服務機構具備相關技能，不僅能夠識別這些網站，還能獲取與保護企業身份或數據相關的數據。

大多數企業不需要直接進行暗網研究，相反地，他們可以利用監控工具來掃描暗網。此外，像擴展檢測和響應（XDR）等工具或托管檢測和響應（MDR）等服務，通常也會從暗網收集數據，以識別受感染的帳戶、評估風險并為威脅分析提供上下文。

一些行業，尤其是政府、金融機構、某些知名IT安全企業以及其他一些關鍵行業，可能需要更多地、更直接地獲取只能從暗網上得到的情報。在許多情況下，這些公司尋找的不僅僅是泄露的憑據或公司數據。相反地，他們需要有關威脅參與者、不斷發展的攻擊載體或漏洞的情報。

另一方面，零售或制藥等其他業務部門更容易受到非傳統攻擊的影響，比如虛假域名或網絡釣魚攻擊等形式的品牌欺騙。針對這種情況，數字足跡監測無疑是一個特別有價值的工具，而這類工具中通常會包含暗網組件。此外，下架服務是越過數字足跡監控的自然步驟。一般來說，單個企業不會與互聯網服務提供商、云托管平臺，甚至執法部門建立必要的聯系，從而自行實施下架。數字風險保護服務（DRPS）很好地填補了這一空白，它提供基于服務的解決方案，通過監控（互聯網、表層網和暗網）和更實際的方法（如網站下架服務）來保護組織的品牌。

10大暗網監控工具

以下是一些最流行的暗網監控工具：

Brandefense

Brandefense是一種人工智能（AI）驅動的數字風險保護（DRPS）解決方案，可以掃描表層網/明網（surface web）和暗網，收集攻擊方法或數據泄露的詳細信息，將這些數據關聯起來并將其情境化，然后在事件與用戶品牌相關時提供警報。如果有必要，Brandefense還可以協助打擊威脅行為者，使組織的安全態勢領先于攻擊，而不是被動地等待響應攻擊。

高級管理人員（或VIP）的安全是Brandefense的另一個重點領域，因為這些人通常不僅是公司品牌的一部分，而且經常淪為攻擊目標。他們的姓名和電子郵件也經常被用于針對員工或客戶的魚叉式網絡釣魚攻擊。

CTM360 CyberBlindspot和ThreatCover

CTM360提供了兩種不同的解決方案來監控暗網，以保護組織免受新威脅影響。其中，CyberBlindspot專注于與公司資產有關的情報，擴展了入侵指標（IOC）的概念，以盡可能早地暴露并警告攻擊指標，允許組織更主動地識別網絡威脅。

ThreatCover則為安全分析師提供了深入研究威脅情報源的工具，為事件響應團隊提供優化的數據質量和上下文信息。CTM360還可以通過其Takedown++服務在全球范圍內提供下架服務。

IBM X-Force Exchange

IBM X-Force Exchange主要是一個數據共享平臺和社區，它將威脅和情報饋送到一個交互式、可搜索的數據庫中，該數據庫還可以通過API和自動警報集成到組織現有的安全堆棧中。IBM提供的許多工具都是免費的，甚至不需要注冊，但建議在使用IBM X-Force Exchange時最好進行注冊，以便通過保存與相關域名和品牌有關的搜索和跟蹤提要來定制門戶。API訪問、高級分析和高級威脅情報報告服務需要訂閱。

IntSights威脅情報平臺

IntSights威脅情報平臺（現屬Rapid7家族的一部分）提供了全面的外部威脅情報和IoC監控。它能挖掘暗網的威脅情報，如戰術、技術和程序（TTP）、威脅行為者以及惡意軟件變種。這些情報可以幫助安全專業人員跟上不斷發展的攻擊方法，提供調整防御措施和培訓用戶最佳實踐的手段。此外，IntSights的產品還提供了一個窗口，可以查看暗網上引用公司品牌或域名的活躍對話，讓組織有機會主動應對威脅，而不是被動等待攻擊開始。

惡意軟件信息共享平臺-MISP

惡意軟件信息共享平臺（MISP）是一個基于共享威脅情報數據理念的開源平臺。MISP提供可以安裝在用戶數據中心或各種云平臺上的開源軟件，并利用開源協議和數據格式在MISP用戶之間實現信息共享或將情報集成到各種信息安全工具中。事實上，對MISP集成的支持經常是解決方案的一大賣點。雖然MISP威脅流的管理方式與商業工具不同，但它是組織建立內部暗網監控解決方案的一種低成本選擇。

MandiantDigital Threat Monitoring

Mandiant Digital Threat Monitoring提供了在開放互聯網或暗網上有關威脅和泄露憑據或其他組織機密等情報的可見性。這些情報數據得到了通過機器學習提供的上下文支持，可驅動相關地、優先級的警報，以推進分類進程。除了品牌監控（包括VIP管理層保護）之外，Mandiant Digital Threat Monitoring還提供對上下游企業的監控服務。通過監控這些存在信任關系的企業，組織可以進一步保護供應鏈，并防止可能繞過現有安全控制的跨域攻擊。

Mandiant還提供數字威脅監控作為其Advantage Threat Intelligence方案的附加模塊，將許多相同的暗網監控功能整合到威脅情報產品中。

OpenCTI

OpenCTI是另一個用于收集、管理并與威脅情報數據交互的開源工具。OpenCTI由Filigran開發和擁有，可以作為Docker容器部署，使其與平臺無關，并提供大量連接到其他安全平臺和軟件工具的連接器，以集成和豐富OpenCTI數據流。

OpenCTI的功能集包括針對信息安全團隊的基于角色的訪問控制、基于標準的數據模型以及指示發現來源的屬性數據。所有類型的自動化都可以使用OpenCTI for Python客戶端來實現，它公開了帶有輔助函數的OpenCTI API和一個易于使用的框架，允許用戶基于事件數據快速開發自定義邏輯。

PaloAltoNetworksAutoFocus

眾所周知，Palo Alto Networks是網絡安全領域的主要參與者，而AutoFocus則是Palo Alto Networks投資組合中的一個關鍵部分。AutoFocus將深入的上下文和洞察力帶到最前沿，使安全分析師能夠對事件進行分類并確定響應工作的優先級。Palo Alto Networks不僅從開放互聯網和暗網上的數據存儲庫收集信息，而且還使用其遍布全球的設備和服務中的數據進行關聯和情境化。

Recorded FutureIntelligence Cloud Platform

Recorded Future提供的情報云平臺（Intelligence Cloud Platform）可以持續監控超過300個國家行為者、300萬個已知的犯罪論壇、數十億個域名以及互聯網和暗網上的數億個IP地址。這些龐大的情報數據被輸入到分析工具中，以便對數據集進行分類和應用上下文，最后，將其輸出到專注于企業品牌、威脅和漏洞、身份和其他幾個領域的模塊中。每個模塊都提供可操作的情報，允許用戶根據業務需求和風險對響應進行優先級排序，以最大限度地減少響應時間，并促進有效的補救措施。

SOCRadar RiskPrime

SOCRadar為安全專業人員提供了多種服務和工具，包括各種免費工具，用戶可以使用這些工具免費對域名或IP地址進行手動一次性檢查。要獲得更全面、重復發生的監控功能則需要訂閱其RiskPrime服務。RiskPrime提供PII（個人身份信息）監控，同時還能跟蹤受損的VIP賬戶，并執行聲譽監控和網絡釣魚檢測。此外，通過RiskPrime還可以獲得下架服務，但除非用戶使用的是企業級服務級別，否則會產生額外的成本。

審核編輯 ：李倩